Hallo! Mein Name ist Marc Dauenhauer. Ich bin Datenschutzbeauftragter und IT-Architekt. Sie befinden sich hier auf einem Blog, auf dem ich über Themen der Digitalisierung im weitesten Sinne berichte. Wenn Sie meine Dienstleistungen als Datenschutz-Experte oder IT-Spezialist suchen, klicken Sie bitte hier!

Kennen Sie schon unsere Beratung zu Alltagsfragen im Datenschutz?

Haben Sie Fragen zur Umsetzung des Datenschutzes in Ihrem Unternehmen und brauchen eine schnelle aber fundierte Antwort, um weitermachen zu können, dann sind Sie hier genau richtig. In 2 einfachen Schritten zur hilfreichen Antwort ohne langes Suchen im Internet. Klicken Sie hier für mehr Informationen.

Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder Industrieanlagen. Projekte sind naturgemäß die Sorte Geschäft, bei dem viele personenbezogene Daten verarbeitet werden ohne dass dies explizit thematisiert wird. Aber genau in der Verarbeitung personenbezogener Daten in großen Projekten liegen eine Reihe von Fallstricken, derer sich Projektleiter bewußt sein sollten. Ich versuche in diesem Beitrag nur ein paar, aus meiner Sicht, besonders relevante Punkte anzusprechen.

Das Setup

Größere Projekte beziehen fast immer Stakeholder ein, die aus unterschiedlichen Organisationen stammen. Diese Organisationsgrenzen sind aus datenschutzrechtlicher Sicht wichtig, da die DSGVO kein Konzernprivileg kennt und daher selbst Organisationseinheiten in Konzernen ggf. wie unterschiedliche Verantwortliche behandelt.

Die DSGVO kennt kein Konzernprivileg. D.h. Datentransfers zwischen Unternehmen eines Konzerns müssen wie Datenübertragungen zwischen Dritten behandelt werden.

Kein größeres Projekt kommt ohne externe Mitwirkende aus. Neben den “internen” MitarbeiterInnen tummeln sich also auch noch externe KollegInnen aus ganz unterschiedlichen Firmen im Projekt. Teilweise werden auch Projektleiter extern bestellt. Im Ergebnis lässt sich ein solches Projekt nicht ohne einen organisationsübergreifenden Datenfluss steuern. Damit unsere Herausforderung noch ein bisschen steigt, beziehen wir noch die Tatsache mit ein, dass nur ein Teil der Dienstleister in Europa sitzt. Ein anderer Teil der MitarbeiterInnen und Dienstleister arbeiten von Indien aus, andere aus den USA und ein paar wenige sitzen bei einem Dienstleister in Kanada. Damit haben wir es nicht “nur” mit organisationsübergreifenden Datenflüssen zu tun, wir müssen uns zudem auch noch mit Drittlandtransfers mit und ohne Angemessenheitsbeschluss der EU-Kommission herumschlagen. Und was wäre eine größere Organisation in Deutschland ohne einen Betriebsrat, der ebenfalls beim Datenschutz noch ein Wörtchen mitzureden hat. Wem nicht spätestens jetzt der Kopf brennt, der ist entweder schon ein Datenschutzprofi, hartgesotten oder hat das Problem noch nicht voll erfasst.

In diesem Setup müssen wir zahlreiche nationale und internationale Gesetze parallel beachten.

Der Projektleiter

Unser armer Projektleiter steht also vor der spannenden Aufgabe, dieses Projekt zu managen und dafür die notwendigen Strukturen im Projektmanagement aufzubauen. Dazu gehört üblicherweise das Management von Projektressourcen, die zu einem großen Teil aus den MitarbeiterInnen bestehen, die an dem Projekt beteiligt sind. Die Verarbeitung deren Daten ist unzweifelhaft eine Datenverarbeitung von personenbezogenen Daten im Sinne der DSGVO und anderer Gesetze.

Alleine in Deutschland sind im Umgang mit den Daten der Projektmitglieder üblicherweise DSGVO, BDSG, SGB, BVerfG und einige andere Gesetze zu beachten.

Verantwortlicher ist gemäß DSGVO derjenige, der über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten bestimmt. Ist der Projektleiter ein Mitarbeiter eines Dienstleisters des Kunden, so ist dieser Dienstleister konsequenterweise auch Verantwortlicher für diese Datenverarbeitung. Die Bereitstellung der MitarbeiterInnen-Daten für das PMO (Project Management Office) durch die anderen Dienstleister und den Kunden selbst stellen hingegen Datenübertragungen dar.

Projektbüros als Datensammelstellen

Wer schon einmal in solchen Projekten gearbeitet hat, der weiß auch, dass die personenbezogenen Daten nicht nur aus Name und E-Mail-Adresse, Funktion, Vorgesetzten, Firmenzugehörigkeit usw. bestehen. Da geht es um Urlaubszeiten, Verfügbarkeiten, Abwesenheiten wie Krankheit, Mutterschaft, Vertretungsregelungen, Arbeitszeiten und vielem mehr. Nicht, dass alle diese Daten immer notwendig wären, aber zentrale Projektleitungsstellen fallen häufiger als große Datensammelstellen auf.

In großen Projekten herrscht zudem eine gewisse MitarbeiterInnenfluktuation, die ein ständiges On- und Offboarding von Personen bedeutet. In diesem Zusammenhang müssen die Daten der betroffenen Personen entsprechend der Datenschutzregeln behandelt werden, aber auch deren Zugriffsmöglichkeiten je nach Situation entsprechend beschränkt oder erweitert werden. Gleiches gilt natürlich auch für das Löschen von personenbezogenen Daten ausgeschiedener MitarbeiterInnen, sofern diese Daten nicht mehr benötigt werden.

Gerade in Coronazeiten kommen ggf. noch weitere sehr sensible Daten über Impfstatus oder Testergebnisse hinzu (Stichwort 3G/2G am Arbeitsplatz). Wenn diese Daten im PMO vorliegen sollen, um ein Projekt möglichst effizient zu leiten, Engpässe frühzeitig zu erkennen und Risiken zu minimieren, dann ist das ohne eine entsprechende Datenverarbeitung nicht möglich. Dazu kommt, dass viele Auftraggeber eigene Zeiterfassungssysteme nutzen, um die Aufwände aus Projekten zu ermitteln und sachgerecht zuordnen zu können. Auch hier werden personenbezogene Daten organisationsübergreifend verarbeitet.

Ist externes Projektmanagement eigentlich eine Auftragsverarbeitung?

Projektmanagement ist per se eine Aufgabe, die ein hohes Maß an Selbständigkeit des Projektleiters erfordert. Das gilt insbesondere auch bei der Verwendung der ihm anvertrauten personenbezogenen Daten. Eine Datenverarbeitung dieser Daten ist im Rahmen des externen Projektmanagements nur eine Nebenleistung und kein eigentlicher Vertragsgegenstand. Daher ist hier von einer eigenen Verantwortung der Stelle auszugehen, die für das Projektmanagement zuständig ist und dazu über die relevanten Personenbezogenen Daten verfügen muss. Das bedeutet aber auch, das die Daten von MitarbeiterInnen, die an das Projektmanagement fließen, ggf. einer Datenübermittlung zwischen Dritten unterliegen. Wenn z.B. ein externer Dienstleister das Projektmanagement übernimmt und weitere Dienstleister beteiligt sind, deren MitarbeiterInnendaten an das Projektmanagement übergeben werden. Solche recht typischen Fallkonstellationen sollten immer zu Projektbeginn geklärt werden, um Datenschutzverstöße gar nicht erst aufkommen zu lassen.

Was sollten Unternehmen tun?

Um den Datenschutz in komplexen Projektsituationen zu beherrschen, sollte jedes Unternehmen, das entweder in solchen Projekten mitarbeitet oder diese beauftragt, entsprechende Vorbereitungen treffen. Idealerweise werden schon bei der Beauftragung der Dienstleister (das gilt übrigens auch für die Beauftragung von Freiberuflern) datenschutzrechtlich notwendige Vereinbarungen getroffen. Die Datenverarbeitung im PMO sollte auf das notwendige Minimum beschränkt bleiben und auch der Zugriff des Personals auf interne Mitarbeiterdaten der anderen Projektparteien sollte auf das absolut erforderliche Maß beschränkt werden.

Klare Strukturen und Verantwortlichkeiten helfen später auch bei der Erfüllung von Betroffenenrechten wie z.B. Auskunftsersuchen. Diese können sich ggf. auch auf personenbezogene Daten aus Projektarbeiten erstrecken. Ohne ein stringentes Management der personenbezogenen Daten im Projekt gestalten sich Antworten darauf schwierig. Insbesondere in arbeitsrechtlichen Konfliktsituationen kann sich das als Bumerang erweisen und zu datenschutzrechtlichen Sanktionen oder Schadensersatzansprüchen der Betroffenen führen.

——-

Wenn Sie Fragen zur Verarbeitung personenbezogener Daten haben, sprechen Sie mich an. Sie können Besprechungen mit uns vereinbaren, bei denen wir die dringendsten Probleme besprechen, mit denen Sie jetzt konfrontiert sind oder in Zukunft konfrontiert werden könnten. Wir besprechen, wie Sie diese am besten bewältigen können – entweder durch die proaktive Umsetzung von Lösungen oder durch die Ausarbeitung von Notfallplänen für de n Fall, dass sie auftreten. Darüber hinaus wird mein Team Ihnen dabei helfen, sicherzustellen, dass alles von Anfang bis Ende rechtskonform dokumentiert wird.